まぁ, 推奨事項とベストプラクティスを使用するという考えで短い別の投稿; 今日は、ローカルユーザーを使用すべきではないことを覚えておく時が来ました, そして、私たちはGrafanaを手に入れました, また、Active DirectoryやLDAPなどの中央ストアからのログインを強制します.

まあ、私が言ったこと, 組織内にある各サービスでローカルユーザーを使用するようにする必要があります, 多くの理由で, Nが広がるよりも、ユーザーの中央サイトを管理する方が良いです, 神様は、彼のパスワードが最後に変更されたのはいつだったか、どこで知っているのでしょうか, 複雑性ポリシー… そしてもちろん, 権限を委任するには, それを必要とする人には、必要な場所だけへのアクセスを提供する方が良いでしょうね。? すべてに許可を与えないこと… そして、そのためには私たちをサポートすることが不可欠です (この場合) Active Directory で.

来る, 何が最悪なのか! 開始! 最初に、LDAPを使用したいことをGrafanaに示します, したがって、Grafana構成ファイル '/etc/grafana/grafana.ini’ 私たちはそれを可能にします:

[auth.ldap です。]
enabled = true config_file = /etc/grafana/ldap.toml allow_sign_up = false

次に、LDAP の設定ファイルを設定します, 常にドメインコントローラーのFQDNを示す必要があります, 理想的には、常にドメイン名を使用する必要があります, したがって、DNSが入力のバランスをとるDCがいくつあるかは関係ありません; または、将来LDAPマシンを移行する場合、覚えてここに来て遊ぶ必要はありません. ポートを示します, LDAPを使用するかどうか 389 o LDAPSの 636 好ましく. また、認証を検証するための読み取り権限を持つ特定のユーザー, さらに、さらにフィルタリングできるようになります, たとえば、ユーザーがどの OU からアクセスするか、またはアクセスするためにユーザーが属する必要があるグループなどです, また、デフォルトで閲覧者ロールが設定されているもの:

ホストサーバー = "FQDN_LDAP"
ポート = 636
use_ssl = 真 start_tls = 真 ssl_skip_verify = 偽 bind_dn = "cn=ldap_grafana,ou=OU2,ou=OU1,dc=ドメイン,dc = ローカル"
bind_password = 'XXXXXXXXXXXXXXXXXXX' search_filter = "(sAMAccountName=%s)"
search_base_dns = ["dc=ドメイン,dc = ローカル"]
group_search_base_dns = ["cn=Grafanaユーザー,ou=OU2,ou=OU1,dc=ドメイン,dc = ローカル"]
[servers.attributes(サーバー属性)]
名前 = "ギブンネーム"
姓 = "SNの"
ユーザー名 = "sAMAccountName さん"
member_of = "メンバーOf"
メール =  "電子メール"
servers.group_mappings group_dn = "cn=Grafanaユーザー,ou=OU2,ou=OU1,dc=ドメイン,dc = ローカル"
org_role = "視聴者"

そしてこれとケーキで…. 彼を捕まえました! Grafanaを再起動し、自分自身を検証して、ActiveDirectoryユーザーでログインしようとします.

sudo systemctl restart grafana-server

さて、今日🙂はこれですべてです 抱きしめて, 自分を大切にする, あなたの愛する人の世話をする, それがあなたにとって非常にうまくいきますように!